Takmičenje hakera Pwn2Own: pobednik iskoristio ranjivost IE 8 na Windows 7
Vesti, 05.04.2010, 11:57 AM
VANCOUVER, BC - Preskakanjem niza anti-exploit prepreka, holandski haker Peter Vreugdenhil izvojevao je impresivnu pobedu na takmičenju hakera CanSecWest Pwn2Own, hakujući kompletno 'patch'-ovan Windows 7 64-bit, koristeći pri tom par ranjivosti Internet Explorer-a.
Vreugdenhil, nezavisni istraživač koji se specijalizovao u pronalaženju i iskorišćavanju 'client-side' ranjvosti, koristio je posebne trikove za premošćavanje ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention), dve značajne sigurnosne zaštite ugrađene u Windows platformu.
„Počeo sam premošćavanjem ALSR što mi je dalo osnovnu adresu jednog od modula učitanih u IE. Koristio sam to saznanje i za premošćenje DEP,“ dodao je on.
Vreugdenhil , koji je osvojio novčanu nagradu od 10000 dolara i novi Windows kompjuter, rekao je da koristi 'fuzzing' tehnike kako bi pronašao ranjivosti softvera. „Posebno tragam za 'bug'-om u mojim 'fuzzing' logovima zato što ih mogu koristiti za premošćavanje ASLR,“ rekao je on.
Posle pronalaženja ranjivosti na IE8, Vreugdenhil je rekao da je mu trebalo oko dve nedelje za pisanje 'exploit'-a protiv odbrane ASLR+DEP.
Članovi Microsoft-ovog IE tima bili su svedoci Vreugdenhil-ovog 'eploit'-a. Predstavnik kompanije je izjavio da oni još uvek ne znaju detalje o ranjivosti ali da će pokrenuti proces bezbedonosnog odgovora onda kada se sa sakupe informacije od organizatora takmičenja.
TippingPoint Zero Day Initiative (ZDI), kompanija koja sponzoriše takmičenje hakera se nada da će svi podaci o propustima biti poslati proizvođačima koji su njima pogođeni.
Izvor: http://threatpost.com/en_us/blogs/hacker-exploits-ie8-windows-7-win-pwn2own-032410
---------
Vest preuzeta sa:
http://threatpost.com/
Izdvojeno
Hakeri koriste novi alat za phishing napade na korisnike Microsoft 365
Istraživači sajber bezbednosti iz kompanije Trustwave otkrili su „Rockstar 2FA“, phishing-as-a-service platformu koja pomaže hakerima d... Dalje
Nova AI funkcija Google Chromea omogućava brzu proveru pouzdanosti veb sajtova
Google Chrome će dobiti novu funkciju pod nazivom „Store reviews“ („Recenzije prodavnice“) koja koristi veštačku inteligenc... Dalje
Prevaranti poklanjaju pretplatu za Telegram Premium - evo šta se krije iza toga
Prosečni čovek troši 938 dolara godišnje na 12 pretplata, otkrila je nedavno sprovedena studija kompanije Kaspersky. Postoje pretplate za sve: muz... Dalje
Ako dobijete ovakvu poruku od Netflixa, ne nasedajte – to je prevara
Bitdefender upozorava na poruke koje dobijaju korisnici Netflixa u kojima se obaveštavaju da su im nalozi suspendovani zbog neplaćene pretplate. &bd... Dalje
Hakerska grupa Matrix koristi veliki IoT botnet za DDoS napade
Istraživači firme Aqua Nautilus upozoravaju na DDoS napade ruskog hakera ili hakerske grupe Matrix, koja koristi ranjivosti i pogrešne konfiguracij... Dalje
Pratite nas
Nagrade